정보 유출 사고, 범죄의 재구성

언론을 통한 소통이 주 업무인 마케터다 보니 종종 기자들을 만나 이런저런 이야기를 나누곤 한다. 주로 IT보안 담당 기자들을 만나는데 그들은 늘 똑같은 하소연을 늘어놓곤 한다.

"이쪽 업계는 참, 조용해도 조용해도, 너무 조용하네요."

그럼 나도 말없이 고개를 끄덕인다. 정말 조용하다. 별일 없어도 너무 없다. IT보안이란 게 원래 무조건 조용해야지 좋은 분야라서 시끄러운 게 오히려 이상한 일이고 위험한 상황이 벌어졌다는 뜻이긴 하다. 하지만 뭐든 말을 해야 하는 게 내 직업인데 말 꺼내기도 민망할 정도로 고요하다는 건 참 난처하고 곤란한 일이다. 그래서 기자들도 하루가 멀다고 끊임없이 화끈한 사건이 빵빵 터져 주는 정치부나 연예부 기자들을 부러워한다.

그러니 기자들이 가장 기뻐하는 때는 안타깝게도 보안사고가 터졌을 때다. 절대 해선 안 될 말이긴 하지만, 마케터인 나로서도 실은 좀 반갑다. 평소엔 "보안은 정말 중요해요!" 암만 떠들어대도 아무도 거들떠보지도 않아서 정말 섭섭한데, 사고가 터지면 그날은 전화기에 불이 날 정도로 바빠진다. 아, 이 사람들이 내 말을 들어 주고 있어! 지난 한 달은 대형 사고가 두 건이나 터져 주셔서 기자들도 나도 모처럼 아주 보람차게 일할 수 있었다.

하지만 정말 안타깝게도, 그렇게나 심각한 사고가 터졌음에도 너무나 빨리 다시 조용해진다. 이야깃거리가 사라져서 아쉽다는 일개 마케터의 이기적 불평이 아니라, 이렇게 위험하고 심각한 사건이 이렇게 빨리 그리고 쉽게 사람들 기억에서 완전히 사라져버린다는 게 과연 말이나 되는 일인가 걱정스러워서 안타깝다. "1,000만 명의 개인정보 유출!"이라며 수십 개씩 우수수 쏟아지던 기사도 하루나 이틀만 지나면 언제 그랬냐는 듯 싹 사라진다. 도대체 왜 이럴까?

사회적 관심은 기자가 가진 집요함의 산물

한동안 모 영화감독과 영화배우의 스캔들이 뜨거운 화제였다. 두 사람의 이야기는 마치 한 편의 소설처럼 각색되어 온갖 지면을 화려하게 장식했다. 연애 사실뿐 아니라 과거 동료 배우들이 은연중 내뱉은 의미심장한 발언들, 심지어 영화 속 남자 배우의 대사를 토대로 그 감독은 과연 어떻게 어떤 말로 애정을 고백했을지 상상력을 총동원해 쓴 창작까지. 그럼 독자들은 "기자가 기사를 써야지 왜 소설을 써?" 불평하면서도 읽는다. 왜 읽어? 왜 읽긴, 흥미로우니까 읽는 거지.

사건 자체가 스타 감독과 배우의 스캔들이라는 대중이 딱 좋아하는 관심사이기 때문이기도 하지만, 한 가지 소재를 두고 그렇게나 다양한 취재와 분석, 추정과 소설(?)이 즐비하니 저절로 흥미가 생겨난다. 이는 연예부만의 특성이 아니라 정치부나 사회부 기사들도 마찬가지다. 생각해 보면 그 집요함이 새삼 놀랍게 느껴진다. 정말 굉장하구나, 기자라는 직업은 사람이 웬만큼 집요하지 않고선 해낼 수 없는 일이겠구나 감탄할 정도다.

그런데 심각성과 해악성에 있어 절대 뒤처지지 않는 IT보안 사고 기사는 도대체 왜 그리 간단하게 쓰는 걸까. 굉장한 피해가 예상되는 대형 사건인 만큼 경위를 분석하고 원인을 파악하고 재발 방지를 위해 대책을 제시하고 사회적 관심을 호소하고 정부의 적절한 개입을 요구하고 뭐 그래야 할 것 같은데 "해킹 사고! 정보 유출!" 그리고, 끝. 독자들도 "이것들이 또!" 딱 하루 분노하고 다음 날 잊는다. 좋아, 그 소설 아무도 안 써 주니까 차라리 내가 쓰겠다.

정보 유출 사건, 범죄의 재구성

최근 벌어진 정보 유출 사건의 전모를 보다 다각적으로 보여 주기 위해 주요 등장인물에 따라 시점을 쪼개 재구성해 보자. 얼마 전 봤던 '아가씨'라는 영화에서도 그런 방식을 썼더라. 각 캐릭터 각자의 입장과 서로의 이해관계를 드러내기에 적절한 방법일 듯싶다. 관련 기사들이 하도 짧다 보니 사건에 대한 자세한 정보를 얻지 못해서 순전히 창작으로 이야기를 짜야겠지만, 흔히 벌어지는 흔한 일이니 사실성은 충분하리라 짐작한다. 그렇게 똑같은 사건이 똑같이 자꾸자꾸 벌어지고 있다는 게 가장 큰 위험이니까.

S#1. 해커의 입장: "팔 수도 없는 걸 훔쳤어!"

이번 목표는 온라인 전자상거래 회사다. 직원들이 외부 업체들과 자주 소통을 하는 업종이다 보니 보안 허점이 많아서 쉽게 털 수 있을 거다. 직원 중 한 명을 골라 신상을 털었다. 여동생이 있다는 사실을 확인하고 동생 신상까지 털었다. 그리고 동생으로 속여 메일을 보냈더니 역시나, 아무 의심 없이 메일을 개봉했다. 즉시 악성코드가 제대로 딱 박혔다. 그의 컴퓨터를 숙주 삼아 기업 내부망을 통해 데이터베이스 접근이 가능한 관리자의 컴퓨터까지 장악했다. 그렇게 간단히 빼돌린 장물은 약 1,000만 명의 개인정보. 무려 두 달이나 열심히 일한 성과다.

장물을 다크웹 장터에 올렸다. 적게 잡아도 50억 원쯤은 받을 수 있을 것이다. 그런데, 사겠다는 사람이 없다. 종종 거래하던 중국의 정보 브로커에게 물어보니, 한국인 개인정보는 이미 돌 만큼 돌아서 구매자가 아예 없을 거라고 한다. "중국에선 시골 노인들도 경로당에서 한국인 주민등록번호로 마작을 한다구. 100만 명받고 500만 명 더! 그런데 그걸 누가 사겠어?" 아, 이 일을 어쩌나. 조직 상부엔 이미 성공했다고 보고했는데. 어쩔 수 없이 정보를 인질 삼아 뒷거래를 하기로 작전을 변경했다.

회사 임직원 명단에서 임원을 하나 골라 메일을 보냈다. 값을 너무 크게 부르면 안 줄지도 모르니 적당하다 싶은 30억 원을 요구했다. 적다 싶긴 하지만 어서 일을 끝내고 싶었다. 돈을 내놓지 않으면 정보 유출 사실을 언론에 까발리겠다고 겁도 줬다. 회사는 일단 결정에 시간이 필요하다며 2주일의 시간을 달라고 말했다. 좋아, 기다려 주지. 그리고 보름이 지났다. 연락이 없다. 그리고 경찰이 수사에 착수했다는 첩보가 들어왔다.

S#2. 회사 높으신 분의 입장: "회사 이미지 손실? 에이, 우리나라 그런 나라 아니잖아?"

비서가 수상한 메일을 들고 왔다. 고객 1,000만 명의 정보를 갖고 있으니 당장 30억 원을 내놓지 않으면 이 사실을 언론에 알리겠다는 협박이다. 전산실 부장을 불러 상황 파악을 지시했다. 혹시나 악의적 장난이길 기대했지만, 회사 데이터베이스에 부정한 접속 흔적이 발견되었다. 비상회의를 소집했다. 중구난방 산만하게 진행된 회의의 결론은, 1) 언론에 노출되지 않고, 2) 고객이 알아서도 안 되고, 3) 30억 원은 줄 수 없다. 그게 가능한 일인지는 모르겠다.

해커와의 협상을 통해 일단 2주일의 시간을 벌어 두고, 조용한 수사를 전제로 경찰에 협조를 요청했다. 사내에서는 연일 대책회의가 이어졌다. 위기관리부서와 보안담당자 그리고 홍보팀과 재무팀, 모두 처지가 다르니 좀처럼 결론이 나지 않았다. 발생 가능한 모든 상황에 대한 시나리오를 짜 두긴 했지만, 위 1)~3) 조건을 모두 채울 방법은 애초에 없었던 거다. 보름은 금방 지나갔다. 언론사로부터 사실관계 확인 전화를 받았다는 홍보팀 보고가 올라왔다. 어쨌든 상황 종료. 홍보팀은 미리 준비해 뒀던 보도자료와 사과문을 배포했다.

과연 잘한 결정이었나, 생각이 복잡하다. 그러니 순전히 경제적으로만 판단하자. 어쨌든 30억 원은 아꼈다. 과징금은 많아 봐야 3천만 원쯤으로 예상한다. 전에 무려 1억 명의 개인정보 유출 사고 터졌을 때도 벌금이 고작 1천만 원이었으니. 언론은 요란하게 떠들어대겠지만 길어야 1주일만 지나면 조용해질 것이다. 예전엔 그렇지 않았는데 요즘은 고객 손해배상 소송도 종종 일어나곤 하더라만, 그 또한 30억 원보다는 적은 돈으로 대충 얼버무릴 수 있을 것이다. 회사 이미지 실추? 아 뭐 그런 건 딱 한 달만 버틴 뒤에 생각하자. 그때 이 사건을 기억하는 사람이 몇 명이나 될지. 어찌 보면 사업하기 참 편한 나라다.

S#3. 보안담당자의 입장: "별일 아니니까 너만 잘리는 거지!"

왜 나만 갖고 그래! 회사에 협박 메일이 날아온 날부터 오늘까지 내내 좌불안석, 잠시도 편히 쉰 적이 없다. 모든 게 후회스럽다. 가장 먼저 개인정보보호관리체계(PIMS) 인증 심사에서 암호화 소홀하다며 관리 부실을 지적받았던 일부터 떠올랐다. 사과문이랍시고 내놓은 걸 보니 PIMS 인증받았다고 당당히 썼구나. 하긴, 이리 써도 아무도 구체적으로 따질 생각은 안 하니까 굳이 부실 지적받았다고 쓸 까닭이 없긴 하다. 상부에 보고하니 그런 지적 안 받은 회사가 어디 있냐며 오히려 야단맞았지. 그러니 내 잘못이 아니다. 주말까지 일하며 열심히 망 분리 작업 마쳤는데도 외부 인터넷 사용 요청이 끊이질 않아서 일일이 허락하자니 업무 효율 떨어진다며 전체 등급 싹 다 낮추라고 했던 것도 내가 아니다. 사고 터졌을 때 24시간 이내에 한국인터넷진흥원(KISA)과 경찰에 연락해야 하는데 하지 않고 몰래 덮으려 했던 것도 내가 아니다. 고객 개인정보 약관을 미리 슬쩍 바꿔 두자고 했던 것도 내가 아니고. 그런데도 누구 하나는 사라져야 문제가 깔끔해진다 말하며 다들 나를 바라본다. 모든 사건 책임을 나한테만 떠넘기려 하다니, 보안담당자라는 직함이 죄구나.

퇴사 앞두고 걱정이 태산이다. 언론에 대문짝만하게 사고사실 까발려진 보안담당자를 어느 회사가 채용할까. 가족들 생각하니 눈앞이 캄캄해진다. 친구 만나 술을 마셨다. 이제 나는 어쩌냐 하소연하니, 친구는 걱정하지 말라고 위로한다. "괜찮아 인마, 그런 일로 경력 박살 나면 어느 보안담당자가 한국서 일하겠어? 다들 사고 터질 때마다 그냥 회사를 옮기는 거야. 그러라고 있는 게 보안담당자고. 회사도 별일 아닌 거로 치는 거지. 이야기 들어 보니 그 회사도 별일 아니라고 생각했으니까 사태가 그 지경에 이른 거잖아. 정신 챙겨. 여긴 한국이야."

아, 시작은 창대했으나 끝은 미약한 재미없는 소설로 그치고 말았다. 이 또한 정보가 너무 부족하기 때문이다. 그래서 부실한 내용을 흔한 일반적 관행으로 채웠는데, 워낙 흔한 관행이라서 실제 사건과 큰 차이는 없을 듯싶다. 그런데 바로 그 관행이 위험의 진짜 정체가 아닌가 싶다. 개인정보 유출에 따른 피해보다는 회사 이미지 실추를 먼저 걱정하고 그 걱정마저도 고작 30억 원보다도 싸다고 판단하고, 보안담당자란 보안사고 터졌을 때 책임을 전가하기 위한 희생물로 여기는 관행. 그리고 애초에 훔쳐도 팔 수도 없을 정도로 무가치해져 버린 개인정보.

문득 궁금해진다. 흔히 대책이라고 말하는 징벌적 벌금 제도가 도입된다면 벌금은 얼마 정도가 되어야 이런 관행들이 모두 사라질까? 법 문외한이라 모를 일이 다만은 어쨌든 30억 원보다는 많아야 할 듯싶다.

이미지 출처: The Governance

Cloudbric
클라우드브릭 칼럼니스트 박지원 (Kor) / Cloudbric Columnist Joey Song (Eng) / support@cloudbric.com

댓글이 닫혀있습니다.